Sis fidye yazılımı bilgisayar korsanları, açık kaynaklı pentesting yardımcı programları ve Syteca adlı meşru bir çalışan izleme yazılımı içeren nadir bir araç seti kullanıyor.
Sis fidye yazılımı işlemi ilk olarak geçen yıl Mayıs ayında mağdurların ağlarına erişmek için tehlikeye atılan VPN kimlik bilgilerini kullandı.
Arabaşlık sonrası, yönetici ayrıcalıkları, devre dışı Windows Defender’ı ve sanal makine depolama da dahil olmak üzere tüm dosyaları şifrelemek için “Hash Pass” saldırıları kullandılar.
Daha sonra, tehdit grubunun Veeam Yedekleme ve Replikasyon (VBR) sunucularının yanı sıra Sonicwall SSL VPN uç noktalarını etkileyen N-Day kusurlarından yararlandığı gözlendi.
Yeni Saldırı Araç Seti
Symantec ve Carbon Black Tehdit Avcısı ekibi, geçen ay Asya’daki bir finans kurumu hakkında bir olay tepkisi sırasında olağandışı saldırı araç setini keşfetti.
Symantec ilk enfeksiyon vektörünü belirleyemedi, ancak daha önce bu tür saldırılarda görülmemiş birçok yeni aracın kullanımını belgeledi.
Bunlardan en sıra dışı ve ilginç olanı, ekran etkinliğini ve tuş vuruşlarını kaydeden meşru bir çalışan izleme yazılımı olan Syteca (eski adıyla Ekran olarak bilinir).
Saldırganlar, aracı, uzaktan izlendiklerinden habersiz olarak hesap kimlik bilgileri gibi bilgileri toplamak için kullanabilirler.
Syteca, gizli iletişim ve dosya transferleri için açık kaynaklı bir proxy aracı olan STOWAWAY tarafından sisteme gizli bir şekilde teslim edildi ve yanal hareket için kullanılan intikçe açık kaynaklı çerçevede Psexec eşdeğeri SMBEXEC tarafından yürütüldü.
Saldırıda ayrıca, komut ve kontrol (C2) ve veri açığa çıkması için Google sayfalarını veya Microsoft SharePoint’i kullanan açık kaynaklı bir sisat sonrası arka kapı olan GC2’yi de içeriyordu.
GC2, daha önce APT41 Çin Tehdit Grubuna atfedilen saldırılarda kullanılan fidye yazılımı saldırılarında nadiren görülmüştür.
Symantec, bu araçların yanı sıra, Fog Ransomware’in en son cephaneliğinin bir parçası olarak aşağıdakileri de listeler:
- ADAPT2X C2-Sıkıştırma sonrası eylemleri destekleyen kobalt grevine açık kaynaklı alternatif
- Process WatchDog – Anahtar işlemleri yeniden başlatabilen sistem izleme yardımcı programı
- PSEXEC – Ağa bağlı makineler arasında uzaktan yürütme için Microsoft Sysinternals Aracı
- İmpacket SMB-Muhtemelen kurbanın makinesinde fidye yazılımı yükünü dağıtmak için kullanılan SMB’ye düşük seviyeli programatik erişime sahip Python kütüphanesi.
Pessfiltrasyon için veri hazırlamak ve altyapılarına teslim etmek için Sis Fidye Yazılımı ayrıca 7-ZIP, Megasync ve Freefilesync Utilities kullandı.
Raporda Symantec, “Saldırganlar tarafından konuşlandırılan araç seti, fidye yazılımı saldırısı için oldukça atipik” diyor.
Araştırmacılar, “Syteca istemcisi ve GC2 aracı, daha önce fidye yazılımı saldırılarında konuşlandırıldığını gördüğümüz araçlar değil, STOWAWAY Proxy aracı ve ADAP2X C2 Agent Beacon da bir fidye yazılımı saldırısında kullanıldığını görmek için olağandışı araçlardır” diyor.
Son sis fidye yazılımı saldırısında tespit edilen Symantec gibi olağandışı setler, tehdit aktörlerin tespitinden kaçmasına yardımcı olabilir. Araştırmacıların raporu, kuruluşların bu tür olaylara karşı korunmasına yardımcı olabilecek uzlaşma göstergeleri sunmaktadır.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.